Smau Bologna 2014 - Le "App.": tra progettazione, trattamento dei dati personali verso la ricerca di una terza via

Le «App» tra progettazione e

trattamento dati personali,

Relatore: Avv. Prof. Bruno FiammellaViale Amendola 1/o 89123, Reggio CalabriaVia Licia 44 Roma (per appuntamento) Tel e Fax 0965-817047 [email protected] www.fiammella.it

trattamento dati personali,

alla ricerca di una terza via

Avv. Bruno Fiammella - www.fiammella.it

• Prof. a contratto di Informatica Giuridica presso la SSPL dell’Univ.

Mediterranea dal 2009

• Avvocato, esercita da circa 11 anni, si occupa di dir. penale delle

nuove tecnologie, computer forensics, anche collaborando con

altri studi in Italia

• Ha scritto circa 21 contributi (4 libri, 3 e-book, articoli e

pubblicazioni cartacee) sul temapubblicazioni cartacee) sul tema

• Docente in vari Master Universitari in tema di Ict law

• Docente per Altalex dal 2011 in corsi di preparazione per l’esame

di avvocato (Roma, Milano, Padova)

• Interviene dal 2001 in diversi convegni nazionali

• Pres. AIGA Reggio Cal. 2013-15

• Comm.ne Informatica Ordine Avv.di R.c. dal 2009

Riceve anche a Roma e Milano, previo appuntamento

App e vita di relazione:

premesse dal risvolto socio giuridico

• Cosa sono realmente le «App» e come stanno cambiando la nostra vita di

relazione, sociale e professionale ?

• Il progresso tecnologico sta davvero procedendo verso una direzione

«evolutiva» della nostra vita o siamo soltanto tutti più veloci, stressati e

“causistici” ?

Le «App» tra progettazione e trattamento dati personali,


Avv. Bruno Fiammella

“causistici” ?

Una app di successo: è solo un problema di

progettazione e di marketing ?

• Esiste la possibilità di trovare una terza via ?

• Cosa significa «soddisfare i bisogni»

• Costruire un progetto intorno all’uomo




Utile, semplice, di massa e poco costosa.

• Utile: portatrice di un benessere concreto nella vita relazionale -

professionale dell’individuo

• Semplice (più è facile usarla e più piacerà e verrà usata)

• Deve rispondere ad una necessità della «maggioranza»

• Devo spendere poco per averla

Definire esattamente il problema

Verificare gli «altri» - store

Il mercato potrebbe essere più piccolo di ciò che si immaginava.

Ci sono vincoli (limiti) che impediscono di sviluppare una buona idea ?




La soluzione deve essere brillante e creativa.

Le migliori soluzioni sono sempre lineari.

I rischi per la privacy nelle applicazioni per smartphone

Il Parere delle Autorità Garanti Europee del 2013

Dati contenuti in smartphone e tablet : indirizzi, localizzazione geografica,

informazioni bancarie, foto, video.

Sensori, bussole e dispositivi per tracciare gli spostamenti dell'utente.

Geolocalizzazione.




La legislazione della Eu prevede che ogni persona abbia il diritto di decidere sul

trattamento dei propri dati personali.

Le applicazioni, dunque, per trattare i dati degli utenti devono prima fornire

informative adeguate, in modo da ottenere un consenso che sia veramente libero

ed informato.

Parere autorità Garanti EU

• Il parere individua precisi obblighi, evidenziando che la protezione di dati

personali e la sicurezza sono il risultato di azioni coordinate tra gli

sviluppatori, i produttori dei sistemi operativi, i distributori, azioni che devono

durare nel tempo. No a soluzioni forfettarie ed approssimative.

• In particolare: obblighi sull'informativa e sul consenso riguardo l'archiviazione

di informazioni sui terminali degli utenti, nonché per l'utilizzo da parte delle

app di dati di localizzazione o delle rubriche dei contatti.




app di dati di localizzazione o delle rubriche dei contatti.

• Si raccomandano inoltre 'best practice' che devono essere operative sin dalle

fasi iniziali di sviluppo delle app:

- l'impiego di identificativi non persistenti, per ridurre al minimo il rischio di

tracciamenti degli utenti per tempi indefiniti,

- la definizione di precisi tempi di conservazione dei dati raccolti,

- l'impiego di icone 'user friendly' per segnalare che specifici trattamenti di dati

sono in corso (ad es. dati di geolocalizzazione).

Consenso: libero, informato e specifico (1)

• Le app devono rispettare i requisiti previsti per qualsiasi campagna

pubblicitaria. Le comunicazioni devono avvenire in modo trasparente, chiaro ed

esaustivo. No a ipotesi di pubblicità ingannevole.

Il consenso:

ottenuto prima che qualsiasi dato venga acquisito




ottenuto prima che qualsiasi dato venga acquisito

o processato dal dispositivo o dall’applicazione.

Consenso libero: non è sufficiente una casella da spuntare per poter proseguire una

volta presa visione della privacy policy, ma deve essere presente anche una

esplicita opzione di uscita, che consenta all’utente di negare il consenso e tornare

indietro.

Consenso: libero, informato e specifico (2)

Consenso informato: la policy deve contenere alcune informazioni essenziali:

l’identità del titolare del trattamento e le informazioni per poterlo contattare,

l’indicazione precisa delle categorie di dati personali che la app raccoglierà e

tratterà, gli scopi specifici della raccolta, la dettagliata previsione di eventuali

soggetti terzi ai quali i dati verranno trasmessi, e infine le modalità di esercizio dei

diritti di revoca del consenso e di cancellazione dei dati.

Non va bene raggruppare tutte le indicazioni in illeggibili condizioni legali oppure




Non va bene raggruppare tutte le indicazioni in illeggibili condizioni legali oppure

fare utilizzo di numerosi collegamenti ipertestuali.

Consenso specifico: nell’indicare le finalità del trattamento, evitare descrizioni

troppo generiche o onnicomprensive. No ad indicazioni sommarie come :

“per ricerche di marketing” o “per innovare i prodotti”.

Iniziativa Sweep day: riscontri in autunno

Azione congiunta di 28 Authority – hanno svolto uno "sweep" (indagine a

tappeto) scegliendo tra le 50 applicazioni più importanti disponibili su varie

piattaforme (Android, iOs, Windows e altre) nel periodo compreso fra il 12 ed

il 18 maggio.

Obiettivo: verificare l’esistenza di comportamenti poco cristallini od




Obiettivo: verificare l’esistenza di comportamenti poco cristallini od

irrispettosi della privacy degli utenti.

Esame di app, a campione, per accertarsi che non si impossessino di dati

sensibili e non li girino a soggetti terzi ad insaputa dell'utente. L'ufficio del

Garante Privacy italiano incentrerà la sua azione di verifica sulle applicazioni

mediche.

Antitrust apre istruttoria su

alcuni grossi e noti operatori del settore

Societa' che sviluppano e pubblicano videogiochi scaricabili da Internet, in merito

alle app che appaiono gratuite ai consumatori e che invece richiedono acquisti

successivi per poter continuare a giocare.

Il procedimento dovra' verificare se i consumatori potrebbero essere indotti a




Il procedimento dovra' verificare se i consumatori potrebbero essere indotti a

ritenere, che il gioco sia del tutto gratuito e, comunque, non sarebbero messi in

grado di conoscere preventivamente gli effettivi costi dello stesso.

Sussisterebbero, inoltre, carenze informative circa gli strumenti per escludere o

limitare la possibilita' di acquisti all'interno delle App e le relative modalita' di

attivazione'

Sicurezza ed App

Un altro rischio - deriva da misure di sicurezza insufficienti.

- Piattaforma Ios (I-phone)

- Piattaforma Android

- Windows mobile (Windows 8 per mobile - Nokia)




Rapporto sviluppatore - utente - sviluppatore

Il problema degli aggiornamenti e della interazione tra sistemi che girano su

piattaforme differenti (pratica del Jailbreck). Differenze evolutive dei sistemi:

nella ricerca della compatibilità e della «soddisfazione» del cliente, aumentano i

rischi per la sicurezza

Limiti con «-I message» Limiti con «face-time»

Virus e problematiche legali

Malware sugli Android: finte App studiate per far credere di risolvere i

problemi della sicurezza, ed invece li creano. Ipotesi di reato ?

Difficoltà connesse all’uso promiscuo dello smartphone:

In azienda per lavoro - a casa o nella vita privata




In azienda per lavoro - a casa o nella vita privata

Ridefinire i limiti ed i perimetri della sicurezza, rivedere le policy,

rideterminare le responsabilità in caso di incidente

Rischi per i clienti dell’azienda e per i dipendenti.

Perdita di controllo diretto sui dispositivi e sulle misure di protezione

correlate.

Case Studie

• Casa editrice: l'app di Fabio Volo per iPhone non s'ha da fare

articolo di Elena Re Garbagnati, 20 febbraio, 2012




• La app per scaricare i video di youtube rimossa in 24 ore.

La casa editrice … ha imposto la rimozione dall'iTunes Store di un'app con 150

frasi celebri di Fabio Volo, che era stata creata da due sviluppatori.

«WhattsApp» e Garante privacy

Fonte: www.itespresso.it art. del 28 febbraio 2013

• Richiesta di chiarimenti inoltrata, i quesiti posti dal Garante:

Come mette in contatto i suoi utenti, attingendo alla rubrica del

dispositivo su cui è installato ?

• Vengono forse coinvolti "dati personali di soggetti terzi, anche di coloro




• Vengono forse coinvolti "dati personali di soggetti terzi, anche di coloro

che non hanno scaricato l'applicazione e non utilizzano il servizio", e non

hanno acconsentito alle condizioni d'uso ?

• Modalità con cui questi dati vengono raccolti e trattati all'atto

dell'iscrizione e nell'utilizzo del servizio di scambio di messaggi e di

condivisione di file.

• Data retention: per quanto tempo vengono conservati i dati ?

App - trattamento dati - minori: quid iuris ?

In caso di app rivolte specificamente ai minori, si ribadisce la necessità del

consenso espresso da parte dei genitori.

• Di chi è lo smartphone ?

• Di chi è la proprietà della Sim card ?

• Quando è stato prestato il consenso, chi aveva il possesso dello




• Quando è stato prestato il consenso, chi aveva il possesso dello

smartphone, un adulto oppure un minore ?

Esiste un’app per questo ? ☺☺☺☺

App e trattamento dei dati sanitari

• Può una app salvarti la vita ?

• E’ possibile sostituire con una app il medico di fiducia ?

• Alcuni casi scuola lungo il cammino di ricerca: tra software, diritto, salute e

controllo della persona attraverso il trattamento dei dati più invasivi che




controllo della persona attraverso il trattamento dei dati più invasivi che

esistano: quelli sanitari e/o biometrici e/o genetici.

• La condivisione, tra pazienti, delle notizie su una patologia comune, può

determinare una svolta o un’accellerazione della ricerca , capovolgendo i

criteri della ricerca a scopo di profitto, verso una logica di una ricerca

condivisa ?

ConcludendoIl processo di informatizzazione di cui siamo protagonisti, vada sempre di paripasso ad un processo di informazione sulle capacità e sui limiti dei dispositivistessi, accompagnato da una buona dose di buon senso, quando si crea o progetta,e quando si esegue o utilizza.




Tu sei libero di:

Condividere — riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale con qualsiasi mezzo e formato

Modificare — remixare, trasformare il materiale e basarti su di esso per le tue opere

Alle seguenti condizioni:

Attribuzione — You must give appropriate credit, provide a link to the license, and indicate if changes were made. You may do so in anyreasonable manner, but not in any way that suggests the licensor endorses you or your use.

NonCommerciale — Non puoi usare il materiale per scopi commerciali.

StessaLicenza — Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale originario.

Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare.

Technology

Smau Bologna 2014 - Le "App.": tra progettazione, trattamento dei dati personali verso la ricerca di una terza via